Die c’t Recherche erfolgte im Gefolge einer Analyse der Android-Version der Ada-App durch den IT-Sicherheitsexperten Mike Kuketz. Kuketz hatte schon einmal eine Datenschutzdiskussion im E-Health-Umfeld losgetreten, als er sich die elektronische Gesundheitsakte Vivy genauer angesehen hatte. Kuketz‘ ursprünglicher Vorwurf lautete, dass Ada in der von ihm getesteten Version Daten an die Tracking- und Analyse-Dienstleister Amplitude und Facebook übermittelte, bevor dem Nutzer die allgemeinen Geschäftsbedingungen und die Datenschutzerklärung präsentiert wurden, in der diese Dienstleister nebst anderen genannt werden. Dies habe laut Kuketz nicht nur technische Daten betroffen, sondern auch Daten, die mit der Person und deren Beschwerden zusammenhingen.
Die c’t Redaktion hatte sich daraufhin laut ihrer in Ausgabe 22/1019 veröffentlichten Recherche an Ada Health gewandt, und das Unternehmen hatte mitgeteilt, dass Dritte keinen Zugriff auf persönliche Gesundheitsinformationen der User hätten. Daraufhin recherchierten die c’t Sicherheitsexperten nach und testeten die zu diesem Zeitpunkt aktuelle Version 2.49.0 der App. Dabei fanden sie die Befunde von Kuketz bestätigt und konnten zudem im Datenverkehr der App mit Facebook einsehen, dass unter anderem der Name der Krankenversicherung übertragen wurde.
Die Journalisten wandten sich daraufhin erneut an Ada Health. Das Unternehmen gab an, einen eigenen, geschützten Bereich innerhalb von Amplitude zu haben, auf den Amplitude keinen Zugriff habe. Es handle sich um ein übliches Vorgehen, und Amplitude könne keine Personen identifizieren. Die Frage beim Thema „Personen identifizieren“ ist allerdings immer, inwieweit „Vierte“ durch Zusammenführung von Daten, die eine App an unterschiedliche „Dritte“ verschickt, letztlich doch aussagekräftige Personenprofile erstellen können. In einer Studie, die im März im BMJ veröffentlicht wurde, war Ada die App, die die meisten unterschiedlichen Typen von Nutzerdaten an die größte Zahl an Drittfirmen verschickt hatte.
Kurz vor Redaktionsschluss der c’t Ausgabe sei die Ada App dann kurzzeitig aus dem Google Playstore verschwunden, so die Journalisten. Sie tauchte am 4. Oktober in der Version 2.49.1 wieder auf, und die Datenübertragung an Amplitude war nicht mehr feststellbar. Am 11. Oktober hat Ada dann ein eigenes Statement online gestellt, das „falsche und irreführende Berichte über den Umgang der Ada-App mit Daten“ und „falsche Anschuldigungen“ beklagt.
Außerdem wird noch einmal klargestellt, dass Dritte ohne die ausdrückliche Zustimmung der Nutzer keinen Zugang zu persönlichen Gesundheitsinformationen hätten sowie angekündigt, dass die falschen Anschuldigungen und Ungenauigkeiten im Detail herausgearbeitet würden und das Unternehmen in einen Dialog dazu eintreten werde. Kuketz selbst teilte am Samstag auf seinem Twitter-Account mit, dass er auch die Version 2.49.1 der App heruntergeladen habe und dass gleich zu Beginn weiterhin eine Facebook-Verbindung aufgebaut werde.
Weitere Informationen:
Statement von Ada Health https://ada.com/de/editorial/information-shared-with-ada-is-confidential/
Heise.de Beitrag zum c’t Artikel https://www.heise.de/ct/artikel/Massive-Datenschutzmaengel-in-der-Gesundheits-App-Ada-4549354.html
App-Studie im British Medical Journal https://www.bmj.com/content/364/bmj.l920